攻撃者が欲しいのは情報だけではありません。
IT技術が発展していなかったころのサイバー攻撃者と言えば、技術力を誇示したり、反社会的声明を表示させたりといった愉快犯がほとんどでした。
近年は攻撃者の目的も変化して、金銭を得るために情報を盗む攻撃が大半を占めています。
ここで重要なのは、サイバー攻撃を仕掛ける攻撃者が本当に欲しいのは「情報」よりも、金銭であるということです。
売れるものは「情報」だけではないのです。
「パソコンの操作権」も売れるもののひとつです。
攻撃者は侵入に成功した企業のパソコンを自由に操作できるように不正ファイルを仕込みます。このパソコンの操作権は、条件が合えば売買の対象になります。
本当に攻撃を仕掛けたい企業への踏み台に使われることもあります。
攻撃を受けるのに、狙われるような情報があるかどうかは関係ないんです。
攻撃者はターゲットを決めることはせずに、攻撃を仕掛けることが往々にしてあります。
もちろん、特定の情報を盗むために、あるいは特定の企業や人物を陥れるために攻撃を仕掛けることもありますが、そちらのほうが特殊なケースと言えます。
世間で起きている攻撃のほとんどは、特定のターゲットへの攻撃ではありません。
攻撃する際は、ウイルスが添付されたメールを手あたり次第ばらまいたり、パソコンのOSやソフトウェアの脆弱性をつつく不正通信を手あたり次第送ったりして、無差別に攻撃を試して引っかかった場合に侵入を試みます。
どんなに小さな企業であってもインターネットを活用している以上、無防備ではいけません。
パソコンやソフトウェアの脆弱性が放置されたままであったり、サイバー攻撃について無知であったり、対策をないがしろにしていれば企業規模に関係なく、無差別的に仕掛けられる攻撃の被害を受ける会社のうちの1社になってしまうのです。
サイバー攻撃を受けて被るダメージは「被害に遭う」というパターンだけではありません。
パソコンを乗っ取られたらどうでしょうか。
攻撃者が自社のパソコンを乗っ取って、他社を攻撃することに利用します。
こうなると、自社のパソコンが悪事を働いたことになるので、「加害者」となってしまうパターンもあるのです。
また、自社の情報を盗まれると「被害者」となりますが、このとき盗まれた情報が「顧客情報」だったら・・・。
この顧客もまた「被害者」となりますし、顧客情報が盗まれた原因が自社の対策不足にあるとなれば、顧客に対して賠償金を支払わなければならない事態も有りえます。
単に「被害者」となるだけでなく「加害者」にもなり得ること、更には顧客や関係各方面の信頼を失ったり、莫大な賠償金・復旧費用などによって経営が傾いたりといったさまざまなダメージを被ることを想定する必要があります。
中小企業が陥りがちな、サイバー攻撃に対する大きな間違いを3つ紹介しました。
「うちは大丈夫」という思い込みは捨てて、今一度自社の情報セキュリティ対策を見直してみてはいかがでしょうか。
【関連コラム】中小企業も「セキュリティ対策が必須」の時代!ファイアウォールじゃなくてUTM(統合脅威管理)が必要な理由って?
情報セキュリティ対策のお話しをすると、中小企業経営者の多くの方がこうおっしゃいます。
「うちに盗まれて困る情報はないよ」
こんなふうに考えて、あなたの会社も情報セキュリティ対策をおろそかにしていませんか?
きっとサイバー攻撃について間違った認識を持っているのかもしれません。
中小企業が陥りがちな、サイバー攻撃に対する大きな間違いを3つ紹介します。